淺談校園網的安全風險與對策

【摘要】高等教育和科研機構是互聯網誕生的搖籃，也是最早的應用環境。各國的高等教育都是最早建設和應用互聯網技術的行業之一，中國的高校校園網一般都最先應用最先進的網絡技術，用戶群密集而且活躍。然而校園網由于自身的特點也是安全問題比較突出的地方，安全管理也更為復雜、困難。

【關鍵詞】高校校園網 安全管理 風險與對策

高校校園網與政府或企業網相比，高校校園網的以下特點導致安全管理非常復雜：

1.校園網的速度快和規模大

高校校園網是最早的寬帶網絡，普遍使用的以太網技術決定了校園網最初的帶寬不低于10Mbps，目前普遍使用了百兆、千兆甚至萬兆實現園區主干互聯。校園網的用戶群體一般也比較大，少則數千人、多則數萬人。中國的高校學生一般集中住宿，因而用戶群比較密集。正是由于高帶寬和大用戶量的特點，網絡安全問題一般蔓延快、對網絡的影響比較嚴重。

2.校園網中的計算機系統管理比較復雜

校園網中的計算機系統的購置和管理情況非常復雜，比如學生宿舍中的電腦一般是學生自己花錢購買、自己維護的，有的院系是統一采購、有技術人員負責維護的，有些院系則是教師自主購買、沒有專人維護的。這種情況下要求所有的終端系統實施統一的安全政策(比如安裝防病毒軟件、設置可靠的口令)是非常困難的。由于沒有統一的資產管理和設備管理，出現安全問題后通常無法分清責任。比較典型的現象是，用戶的計算機接入校園網后感染病毒，反過來這臺感染病毒的計算機又影響了校園網的運行，于是出現端系統用戶和網絡管理員相互指責的現象。更有些計算機甚至服務器系統建設完畢之后無人管理，甚至被攻擊者攻破作為攻擊的跳板、變成攻擊試驗床也無人覺察。

3.活躍的用戶群體

高等學校的學生通常是最活躍的網絡用戶，對網絡新技術充滿好奇，勇于嘗試。如果沒有意識到后果的嚴重性，有些學生會嘗試使用網上學到的、甚至自己研究的各種攻擊技術，可能對網絡造成一定的影響和破壞。

4.開放的網絡環境

由于教學和科研的特點決定了校園網絡環境應該是開放的、管理也是較為寬松的。比如，企業網可以限制允許Web瀏覽和電子郵件的流量，甚至限制外部發起的連接不允許進入防火墻，但是在校園網環境下通常是行不通的，至少在校園網的主干不能實施過多的限制，否則一些新的應用、新的技術很難在校園網內部實施。

5．有限的投入

校園網的建設和管理通常都輕視了網絡安全，特別是管理和維護人員方面的投入明顯不足。在中國大多數的校園網中，通常只有網絡中心的少數工作人員，他們只能維護網絡的正常運行，無暇顧及、也沒有條件管理和維護數萬臺計算機的安全，院、系一級的專職的計算機系統管理員對計算機系統的安全是非常重要的。

6.盜版資源泛濫

由于缺乏版權意識，盜版軟件、影視資源在校園網中普遍使用，這些軟件的傳播一方面占用了大量的網絡帶寬，另一方面也給網絡安全帶來了一定的隱患。比如，Microsoft公司對盜版的XP操作系統的更新作了限制，盜版安裝的計算機系統今后會留下大量的安全漏洞。還有，從網絡上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼，許多系統因此被攻擊者侵入和利用。

以上各種原因導致校園網既是大量攻擊的發源地，也是攻擊者最容易攻破的目標。因此導致當前校園網常見的風險如下：

1.普遍存在的計算機系統的漏洞，對信息安全、系統的使用、網絡的運行構成嚴重的威脅；

2.計算機蠕蟲、病毒泛濫，影響用戶的使用、信息安全、網絡運行；

3.外來的系統入侵、攻擊等惡意破壞行為，有些計算機已經被攻破，用作黑客攻擊的工具；拒絕服務攻擊目前越來越普遍，不少開始針對重點高校的網站和服務器；

4.內部用戶的攻擊行為，這些行為給校園網造成了不良的影響，損害了學校的聲譽；

5.校園網內部用戶對網絡資源的濫用，有的校園網用戶利用免費的校園網資源提供商業的或者免費的視頻、軟件資源下載，占用了大量的網絡帶寬，影響了校園網的應用；

6.垃圾郵件、不良信息的傳播，有的利用校園網內無人管理的服務器作為中轉，嚴重影響學校的聲譽。

加強校園網安全管理的建議：

加強校園網的安全管理工作需要從管理和技術兩個方面綜合考慮。首先，加強校園網安全管理政策建設。安全政策(Security Policy)描述校園網安全的目標和需求，是一個組織安全管理的需求說明，它是執行各項管理制度、技術措施的依據，一般規定“做什么”而不是“怎么做”，告訴用戶哪些行為是允許的、哪些行為是不允許的，違反了這些約定將會受到怎樣的處罰。目前很多學校以安全管理規定、安全條例、安全管理辦法等形式發布。一個可行的安全政策應該根據我國的相關法律、法規以及學校的管理制度和具體情況制定，不存在通用的、可實施的安全政策。

其次，加強安全組織建設。目前普遍認為校園網安全管理工作應該由網絡/信息/計算中心承擔，但是事實上，安全管理工作非常復雜，可能涉及各院系、部、處的人員和業務，因此必須由學校具有決策權的機構和領導組織和協調各部門的管理工作，比如，成立信息安全管理委員會和專門的辦公室。另外，安全管理各項措施的實施，單純依靠網絡中心的力量

也是不充分的。院/系/處/宿舍安全管理分級負責的組織體系建設仍然是必要的。加強用戶安全意識和管理員安全技術的培訓工作非常重要。對于新用戶的安全意識的培訓，新生入學教育和新員工上崗培訓是兩個比較好的時間，也可以開展一些職工的在職培訓、學生的文化課、選修課等形式的安全意識培訓和基本技能的培訓。對于系統管理員，一定要重視上崗培訓。很多學校院系服務器的管理員都是由助教研究生來擔任的，這些學生沒有經過必要的培訓，容易留下大量的安全問題。

IPv6技術在一定程度上改善了網絡安全問題，IPv6最重要的安全增強是將IPSec作為強制標準實施，保證了網絡層數據的保密性和完整性。然而，大規模部署IPSec所依賴的PKI在IPv6網絡上仍然不存在，因此IPSec的廣泛實施仍是很遙遠的事情。而且，IPSec的信息加密給當前的入侵檢測等技術帶來了新的挑戰，目前的網絡的審計機制、防火墻機制都有可能受到影響。另一方面，目前的許多安全問題出在系統的實現和維護階段，特別是系統軟件和應用軟件，跟底層的網絡協議無關。因此，利用緩沖區溢出、弱口令等系統漏洞入侵系統的現象不會因為IPv6的實施而有所減少。

IPv6帶來的最直接的好處便是無盡的地址空間，允許給所有聯網設備分配一個真實的IP地址，無需地址轉換，這對于加強安全管理和攻擊追蹤提供了可行的機制。在網絡安全方面，普遍認為這個龐大的地址空間可以大大減緩病毒或蠕蟲掃描的速度從而降低病毒或蠕蟲的影響。然而IPv6中會不會出現新的傳播方式目前仍然不得而知。利用IPv6的特點，研究和開發下一代互聯網安全技術和系統，給我國教育和科研領域的研究人員提供了一個新的機遇。

（作者單位：河北唐山市經濟貿易學校）